Speicherung der Daten zu Ereignissen für Aufgaben und Richtlinien

Dieser Abschnitt enthält Berechnungen, die sich auf die Speicherung von Ereignissen in der Datenbank des Administrationsservers beziehen, sowie Empfehlungen zur Minimierung der Anzahl der Ereignisse und der Reduzierung der Auslastung des Administrationsservers.

Standardmäßig ist in den Eigenschaften jeder Aufgabe und Richtlinie die Protokollierung aller Ereignisse aktiviert, die mit der Aufgabenausführung und der Anwendung der Richtlinie verbunden sind.

Wenn jedoch eine Aufgabe recht häufig (z. B. mehr als einmal pro Woche) auf einer recht großen Anzahl an Geräten (z. B. auf mehr als 10.000) ausgeführt wird, kann sich eine große Anzahl an Ereignissen ansammeln, welche die Datenbank überfüllen. In einem solchen Fall wird empfohlen, in den Eigenschaften der Aufgabe eine von zwei anderen Optionen festzulegen:

• Ereignisse in Bezug auf Aufgabenfortschritt speichern. In diesem Fall gehen von jedem Gerät, auf dem die Aufgabe ausgeführt wird, nur Informationen über den Start, den Verlauf und den Abschluss der Aufgabe (erfolgreich, mit Warnung oder mit einem Fehler) in die Datenbank ein.
• Nur die Ergebnisse der Aufgabenausführung speichern. In diesem Fall gehen von jedem Gerät, auf dem die Aufgabe ausgeführt wird, nur Informationen über den Abschluss der Aufgabe (erfolgreich, mit Warnung oder mit einem Fehler) in die Datenbank ein.

Wenn eine Richtlinie einer recht großen Anzahl an Geräten zugewiesen ist (z. B. mehr als 10.000), kann sich eine große Anzahl an Ereignissen ansammeln, welche die Datenbank überfüllen. In einem solchen Fall wird empfohlen, in den Eigenschaften der Richtlinie nur die kritischen Ereignisse auszuwählen und ihre Speicherung zu aktivieren. Es wird empfohlen, die Speicherung aller anderen Ereignisse zu deaktivieren.

Auf diese Weise reduzieren Sie die Anzahl der Ereignisse in der Datenbank, erhöhen die Ausführungsgeschwindigkeit der Szenarien, die mit der Analyse der Ereignistabelle in der Datenbank verbunden sind, und reduzieren das Risiko der Verdrängung von kritischen Ereignissen durch eine große Anzahl an Ereignissen.

Sie können außerdem die Aufbewahrungsdauer der Ereignisse reduzieren, die mit der Aufgabe (Richtlinie) verbunden sind. Standardmäßig beträgt diese Frist 7 Tage für Ereignisse, die mit einer Aufgabe verbunden sind, und 30 Tage für Ereignisse, die mit einer Richtlinie verbunden sind. Beachten Sie bei der Änderung der Aufbewahrungsfrist der Ereignisse die üblichen Arbeitsvorgänge in Ihrem Unternehmen und die Zeit, die dem Systemadministrator zur Analyse jedes Ereignisses zur Verfügung steht.

In jedem der folgenden Fälle ist es sinnvoll, die Speicherung der Ereignisse zu bearbeiten:

• Ereignisse über die Änderung von temporären Statusvarianten der Gruppenaufgaben und Ereignisse über die Anwendung von Richtlinien stellen einen wesentlichen Anteil aller Ereignisse in der Datenbank von Kaspersky Security Center dar.
• Im Kaspersky-Ereignisprotokoll erscheinen Einträge zum automatischen Löschen von Ereignissen aufgrund der Überschreitung des festgelegten Grenzwertes für die Gesamtzahl der Ereignisse, die in der Datenbank gespeichert sind.

Beachten Sie bei der Auswahl der Ereignisprotokollierungs-Optionen, dass die optimale Anzahl der Ereignisse, die von einem einzelnen Gerät stammen, maximal 20 Ereignisse pro Tag beträgt. Sie können diese Beschränkung erforderlichenfalls leicht erhöhen, jedoch nur, wenn die Anzahl an Geräten in Ihrem Netzwerk relativ klein ist (weniger als 10.000).